Threat Database Ransomware Somnia Ransomware

Somnia Ransomware

Russiske hackere bruger en ny ransomware-stamme, der spores som Somnia, til at forstyrre de normale aktiviteter for mål i Ukraine. Efter den russiske invasion af landet Ukraine har infosec-forskere løbende rapporteret om en drastisk stigning i angrebskampagnerne mod den ukrainske regering og enheder i den private sektor. Detaljer om Somnia Ransomware og dets operatører blev offentliggjort i en rapport fra CERT-UA (Computer Emergency Response Team of Ukraine).

Infektionskæde

Ifølge deres resultater tilhører de cyberkriminelle, der er ansvarlige for Somnia-angrebene, hvad der menes at være en pro-russisk hacktivistgruppe ved navn From Russia with Love (FRwL), også sporet som Z-Team og UAC-0118. Trusselsaktørerne brugte ransomware-værktøjet til at påvirke driften af automatiserede systemer såvel som elektroniske computere, der tilhører det overtrådte mål.

Infosec-eksperter advarer om, at FRwL bruger en flerlags infektionskæde, der involverer flere forskellige truende værktøjer. Den indledende kompromitteringsvektor er bekræftet at være download og eksekvering af et våbeninstalleret installationsprogram, der forklæder sig som 'Avanceret IP-scanner'-software. Den falske fil distribueres gennem dedikerede websteder, der efterligner legitime webportaler. Medarbejdere i den målrettede organisation, der falder for fælden, vil aktivere og installere Vidar Stealer -truslen på deres computere.

Trusselsaktørerne bruger derefter Vidar til at indhente ofrets Telegram-sessionsdata og efterfølgende tage kontrol over deres konti. De kompromitterede konti udnyttes af angriberne på en måde, der giver dem mulighed for at indsamle VPN-forbindelsesdata. Hvis VPN'en mangler tilstrækkelig 2FA (To-Factor Authentication) vil FRwL-hackerne få uautoriseret adgang til organisationens virksomhedsnetværk. Bagefter etablerer cyberkriminelle et Cobalt Strike -fyrtårn og fortsætter med at udslette følsomme data eller udføre yderligere overvågningsaktiviteter.

Somnia Ransomware detaljer

Somnia Ransomware-truslen kan påvirke en lang række forskellige filtyper og kryptere dem ved hjælp af en kryptografisk algoritme. Hver låst fil vil have '.somnia' tilføjet til sit oprindelige navn. Selvom de fleste ransomware-operationer er økonomisk motiverede, er dette ikke tilfældet med Somnia. Angriberne bruger deres truende værktøj mere som en datavisker, der forhindrer ofret i at få adgang til deres data. Angriberne anmoder ikke om at få udbetalt løsesum, da det ikke er deres hovedmål.

Forskerne ved CERT-UA bemærker, at Somnia stadig ser ud til at være under aktiv udvikling. For eksempel var tidligere versioner af truslen udstyret og stolede på den symmetriske 3DES-algoritme. Senere iterationer blev imidlertid skiftet til at køre AES-algoritmen til kryptering af de målrettede filtyper.

Trending

Mest sete

Indlæser...